本文主要對(duì)比分析了入侵檢測(cè)系統(tǒng)、 入侵防御系統(tǒng)以及 “防火墻+入侵檢測(cè)系統(tǒng)” 聯(lián)動(dòng)防護(hù)機(jī)制這三種網(wǎng)絡(luò)安全方案，討論了其優(yōu)缺點(diǎn)和未來發(fā)展方向

1.       IDS的主要不足和IPS的主要優(yōu)勢(shì)

1.1  IDS的主要不足

（1）誤報(bào)、漏報(bào)率高

IDS系統(tǒng)在識(shí)別 “大規(guī)模組合式、 分布式入侵攻擊” 方面，還沒有較好的解決方法，誤報(bào)與漏報(bào)現(xiàn)象嚴(yán)重。 誤報(bào)使得大量的報(bào)警事件分散管理員的精力， 反而無(wú)法對(duì)真正的攻擊作出反應(yīng)。 與誤報(bào)相對(duì)應(yīng)的是漏報(bào)， 隨著攻擊方法的不斷更新，入侵檢測(cè)系統(tǒng)是否能報(bào)出網(wǎng)絡(luò)中所有的攻擊也是一個(gè)問題。

（2）沒有主動(dòng)防御能力

IDS技術(shù)采用了一種預(yù)設(shè)置式、 特征分析式工作原理， 所以檢測(cè)規(guī)則的更新總是落后于攻擊手段的更新， 無(wú)法主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中的安全隱患和故障。 另外， IDS只是檢測(cè)和報(bào)警， 并不具有真正的防御和阻止攻擊的能力，在報(bào)警的同時(shí)， 攻擊已經(jīng)發(fā)生了。

（3）不能解析加密數(shù)據(jù)流

對(duì)于加密的通信來說，IDS是無(wú)能為力的。

1.2       IPS的主要優(yōu)勢(shì)

與IDS相比，IPS具有以下優(yōu)勢(shì)。

（1）同時(shí)具備檢測(cè)和防御功能IPS 不僅能檢測(cè)攻擊還能阻止攻擊， 做到檢測(cè)和防御兼顧，而且是在入口處就開始檢測(cè)， 而不是等到進(jìn)入內(nèi)部網(wǎng)絡(luò)后再檢測(cè)，這樣，檢測(cè)效率和內(nèi)網(wǎng)的安全性都大大提高。

（2）可檢測(cè)到IDS檢測(cè)不到的攻擊行為IPS是在應(yīng)用層的內(nèi)容檢測(cè)基礎(chǔ)上加上主動(dòng)響應(yīng)和過濾功能， 彌補(bǔ)了傳統(tǒng)的防火墻+IDS 方案不能完成更多內(nèi)容檢查的不足， 填補(bǔ)了網(wǎng)絡(luò)安全產(chǎn)品基于內(nèi)容的安全檢查的空白。

（3） IPS是一種失效既阻斷機(jī)制當(dāng)IPS被攻擊失效后， 它會(huì)阻斷網(wǎng)絡(luò)連接， 就像防火墻一樣， 使被保護(hù)資源與外界隔斷。

2  防火墻和IDS互動(dòng)技術(shù)

2.1  通過開放接口實(shí)現(xiàn)互動(dòng)防火墻或IDS產(chǎn)品開放一個(gè)接口供對(duì)方調(diào)用，按照一定的協(xié)議進(jìn)行通信，傳輸警報(bào)。 防火墻可以行使它第一層防御

功能——訪問控制，IDS可以行使它第二層防御功能——檢測(cè)入侵，丟棄惡意通信，并通知防火墻進(jìn)行阻斷。

2.2        緊密集成實(shí)現(xiàn)互動(dòng)把IDS與防火墻集成到同一個(gè)硬件平臺(tái)上，在統(tǒng)一的操作系統(tǒng)管理下有序地運(yùn)行。 所有通過該硬件平臺(tái)的數(shù)據(jù)不僅要接受防火墻規(guī)則的驗(yàn)證，還要被檢測(cè)判斷是否有攻擊， 以達(dá)到真正的實(shí)時(shí)阻斷。

3.網(wǎng)絡(luò)安全設(shè)備發(fā)展趨勢(shì)

網(wǎng)絡(luò)安全設(shè)備安全功能的融合是大勢(shì)所趨， IPS的提出順應(yīng)了這一潮流。對(duì)于IPS的發(fā)展前景以及IPS能否真正取代IDS的問題，一般結(jié)論認(rèn)為：

（1）IPS近期不會(huì)取代IDS隨著企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的不斷擴(kuò)大和日益復(fù)雜， 由內(nèi)部員工違規(guī)引起的安全問題變得突出起來，防火墻、 防病毒等常規(guī)

的安全手段只能對(duì)付外部入侵， 對(duì)于內(nèi)部違規(guī)行為卻無(wú)能為力。 而IDS可以審計(jì)跟蹤內(nèi)部違反安全策略的行為。 另外， IDS可以記錄、報(bào)警各種安全事件， 有利于進(jìn)行安全審計(jì)和事后追蹤， 對(duì)于追溯和阻止拒絕服務(wù)攻擊能夠提供有價(jià)值的線索。所以在安全等級(jí)要求很高的證券、銀行以及電信的網(wǎng)絡(luò)中，均能看到IDS的身影。

（2） “IDS + 防火墻” 的聯(lián)動(dòng)防護(hù)機(jī)制與IPS會(huì)在今后相當(dāng)長(zhǎng)的時(shí)間內(nèi)并存， 但I(xiàn)PS的發(fā)展勢(shì)頭會(huì)更好一些。IPS并不是防火墻的替代者， 當(dāng)前， IPS與防火墻的互補(bǔ)作用還是十分明顯的， 防火墻負(fù)責(zé)提供OSI第4層以下的基本安全環(huán)境和高速轉(zhuǎn)發(fā)能力， 而IPS負(fù)責(zé)OSI第4層層流量的細(xì)粒度控制。 隨著時(shí)間的推移， IPS將會(huì)像防火墻一樣成為4~7層的深層檢測(cè)防火墻， 作為網(wǎng)絡(luò)入口的第二道閥門。